Atacantes tuvieron acceso a la base de datos durante 10 meses, la cual incluye nombre real, usuario e email entre otros datos.
Un grupo de atacantes de origen desconocido habría tenido acceso a la base de datos de las cuentas de usuario de Flipboard, un conocido y popular agregador de noticias empleado por 150 millones de personas.
Los atacantes habrían tenido acceso durante cerca de 10 meses, en un periodo que comprende desde el 2 de junio de 2018 hasta el 23 de marzo de este año. Aunque se presupone que los atacantes han podido descargar la base de datos, se desconoce el uso que se le ha dado.
Los datos comprenden información personal como el nombre real de la persona, su nombre de usuario, dirección de email, hash de la contraseña usando sal y token para su uso en redes sociales externas. En un principio las contraseñas deberían ser bastante difíciles de romper gracias al uso de la función de hash bcrypt, lo que dificulta los ataques por fuerza bruta e impide emplear bases de datos de hashes conocidos.
Desde Flipboard ya han adoptado medidas ante este ataque como reestablecer las contraseñas de sus usuarios y los tokens para conectar en redes sociales externas, lo que significa que los usuarios tendrán que conectarlas de nuevo. No hay evidencias de que los tokens hayan sido empleados por los atacantes.
Al no almacenar Flipboard datos sensibles como números de teléfono o tarjetas de crédito se ha limitado el impacto que la intrusión haya podido tener, lo cual sumado al uso de una función de hash segura se reduce la utilidad de la filtración.
https://unaaldia.hispasec.com/2019/05/expuestas-las-cuentas-de-usuario-de-flipboard.html